WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@lazycat 说的找包括但不限于楼主发的测试啊，win7 就是 mse 啊，8 以后都是 wd，但东西基本都是那一套

@wdlth 勒索病毒已经出现非常久了，杀软就应该无视么？

@acrisliu 卡饭论坛还好，同域名的卡饭教程是垃圾站。

@artandlol 加壳后它的行为特征应该不会变化吧，而且解壳也是杀软基本能力


@yicun WD 通过 Windows Update 更新的，然而有开 Windows Update 必然会收到微软补丁，并不会中毒。

@jasontse 金山不是当年的金山了，终端用户市场也越做越弱了。当年 android 2.3 的时候，金山手机助手还是蛮好用的，结果到了后面和数字公司比谁更卡，谁更能弹广告了。老本行都快被丢完了。

看来我推荐卡巴是对的。

Avira 没通过…伤心。卡巴太卡了，最后没用

上午 QQ 管家还推送消息说可以开启文档保护

一个系统补丁就解决的事硬要推销一大把乱七八糟的东西，知乎微博上那堆乱七八糟的教程看着就烦。
360 的微博把这个文章挂起来了，说这是故意抹黑 360 的文章。

看开机后是 360 快还是病毒快了。
理论上 360 会快一点。
装 360 的话。
金山的话自求多福吧。

@taineric 本身这个测试就是偏向于这款勒索软件，或者说它的部分行为，并不代表这些杀软能防 5 个月后的新病毒、新勒索软件。
比如以前这个 UFEI 的勒索软件 Petya：
https://www.virustotal.com/zh-cn/file/ac710109b547fe2a7abb42689c1d5b7546aecd978fe070c47668a2904df8f2a5/analysis/1481132040/#analysis

又是另外的一番景象。技术更新很快，只有多多提高自己的安全意识才行。

http://support.eset.com/kb6119/

ESET 建议把 cscript.exe、wscript.exe、Powershell、Adobe Reader、Office 等加入 HIPS 的规则里面，牺牲便利性以提高安全性。

@EIlenZe 继续火绒+1， 这次是 0day，指望杀软本身就不对，能起作用是启发式检测，这种本身就是不靠谱的。

@Domains #50 原来如此 火绒确实好多人好多人推荐

360 企业版的天擎好像上个月就对这个漏洞更新规则了

卡巴斯基确实厉害啊

诺顿 norton 2016 年 12 月 12 日版能否主动杀到？有没有谁能做个测试？

@zea
@wzw
@WhisperTseng
@wisefree
ESET、Avira 没防住，这些杀软是 **没有主防** 的（行为分析）
纯靠快速响应拼速度的，没入库就完蛋
ESET 有 HIPS，如果用 HIPS 规则禁止写入修改重要文件也能算防住，不过弹窗烦死你
红伞有 APC （上传，分析，拉黑）



@Domains
WNCRY 利用永恒之蓝漏洞攻击后，释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的，而不是直接利用漏洞执行勒索行为
也就是说，白白浪费了漏洞无需写入硬盘即可执行的特性，释放了一个普通的勒索程序，而且设计还有缺陷
因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别



@rosu
火绒主打行为分析（主防和动态启发）的，病毒库弱，如果行为分析不行，火绒只能用防流氓了
火绒的行为分析和 avast 的行为分析防 Cerber 很好的，这次 WNCRY 没防住而已
之前 BD 的 ATC （主防）还总被 Cerber 过呢，入库也缓慢



@jasontse
@chocolatesir
WisdomEyes 是百度自家引擎（慧眼），而且测试中 BD 是主防拦截（ ATC ），不是入库
WisdomEyes 似乎很牛逼，总是第一时间拉黑，不知道会不会是传到 VT 不管是什么先拉黑再说



@mikeven
总结：无主防杀软都是辣鸡~

@EIlenZe 哈哈，这就要和你补充说一下，上面的话太简单不严谨，免得误导你了。 火绒更新的频次本来就低，指望这货查杀病毒本身也是不靠谱，我使用火绒不是因为谁谁推荐，而是因为适合我自己，自己对于安全、病毒这些还有些了解，现在已经不折腾了（以前会把收集到的木马跑一遍，再观察情况，写个手工清除教程什么的）但自带的太没存在感了，火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。
这次是 0day 攻击，是系统级的漏洞利用，除了补丁，没得防。启发式、行为分析等查杀手段之所以不靠谱，是软件远远没那么智能，规则太松了没效果，太严了就影响一大片，因为用户的应用环境千变万化 。

其实安全软件市场很大，蛋糕很大，你看看国外，就算这几年已经不像过去那么多病毒流行，依然能容纳那么多家安全软件产商，赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等，国内实质上是被 360 所谓的免费搞烂了。

再次推荐使用知名大厂带本地主动防御杀软

其中免费的有
BD
Avast

@Technetiumer 那不可能的，一个病毒能成形，必须病毒实体文件到达用户硬盘，并且被激活运行了一遍。 病毒实质上就是一个可执行程序，只是被错误安装进系统。没那么神乎的

日本这边基本是 Norton 撑大旗，shopping mall 软件区各种摆满。其他的能看到趋势科技（？没看错的话）和 ESET 不过份额很少。

于是公司跟风买了 Norton Small Business 给员工用...........

不过这次圈子里分享病毒样本的时候 Norton 还是非常利索地都给干掉了就是。

@Domains

转自卡饭

该病毒最精华的部分，也就是让它带有蠕虫性质的自动入侵模块，其实是照搬自今年 3 月被维基解密曝光的 NSA （美国国家安全局）的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后，接下来的东西就暴露了作者的水平。

单就“永恒之蓝”，其入侵手段非常完美，利用远程执行漏洞，使用 Shellcode 获取管理员权限，整个过程都隐藏在内存里，，不进行任何文件读写，完美规避安软的文件扫描（部分安软的基于进程的内存扫描也很难扫到），那么这个拥有管理员权限，几乎可以为所欲为的 Shell 做了什么呢？仅仅只是联网下载病毒本体到 ProgramData 文件夹，并将其执行，然后就
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
合着国家级的入侵工具，你就拿它当下载器？
亏得刚刚避过了安软的文件扫描，一下载文件到硬盘，完全破功，很多静态扫描强的安软，这时候很可能就把本体杀掉了。至于下回来的本体，就是一普通的勒索加密，用的是自加密的最初级加壳方式，直接使用命令获取所有文件的写权限，动作之大，只能说掩耳盗铃，视安软的主防于无物，从下面的测试里也能看出，断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是，该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。